1. 引言

在网络世界快速发展之后，网络在公民的生活中无处不在，这就意味着公民的个人信息有飘荡在网络世界中的风险。网络世界信息传播速度极快也极为便利，这就为某些不法分子滥用其他公民个人信息带来机会。因此，保护个人信息已经迫不及待，社会和学界呼吁加强对个人信息进行保护，全国人大常委会在2021年8月20日出台颁布《个人信息保护法》，但公民的个人信息自决权仍然受到不合理限制、“知情同意”在实践中更多的也是流于形式、公权力机关存在侵犯公民个人信息保护权的潜在危险。

2. 个人信息保护权是一项宪法权利

我国法学界对个人信息受保护的权利通常称为个人信息保护权或者个人信息权。个人信息保护权属于私法领域还是公法领域、是民事权利还是宪法权利一直具有很大争议。

2.1. 个人信息保护权的宪法理论

个人信息保护权的宪法理论基础主要体现在三个方面：第一，公民的人格尊严不受侵犯；第二，国家尊重和保障人权；第三，公民的通信自由和通信秘密受法律保护。

第一， 个人信息保护权作为宪法权利，其权利来源于《宪法》第38条关于人格尊严的规定。个人信息本质体现个人人格，关乎个人人格尊严。人格尊严是个人信息保护权作为积极权利的规范依据，也是其内在根据 [1] 。由于个人信息包含许多可识别信息，例如姓名、工作单位、行踪信息和活动信息等，一旦泄露就会使人暴露在公众视野之下，被公众无端“审视”，甚至被联想、歪曲、故意编造等，使人格精神遭受打击。在最近两年，公民侵犯信息主体人格尊严类似的事件层出不穷。在如今发达的网络世界，由于个人信息可以比较轻松的辨识到个人身份，对其不合理、不合法、不正当的使用将会对个人心理造成极大的伤害。

第二，《宪法》第33条第3款规定了人权条款。“八二宪法”列举了公民的平等权、受教育权、劳动权等基本权利。2004年宪法修改增加了“国家尊重和保障人权”条款，采取概括式的方式说明人权是一项可以容纳其他未列举的权利。所以可见国家对公民的权利保护从“八二宪法”的列举式发展到了如今的“概括 + 列举式”。人权是指作为人应享有的权利，可以理解为，除了《宪法》所明确列举的公民的基本权利，这一人权条款赋予了人们论证主张尚未被明确列举的权利，个人信息保护权也有被人权纳入的可能。

第三，《宪法》第40条规公民的通信自由和通信秘密受法律的保护。对个人信息的保护使得公民的通信自由和通信秘密内涵得到了丰富。随着科技的发展，公民通信样态发生了变化，或许会通过微信、QQ、微博等形式，不再单纯的是通电话、发手机信息。而在微信、QQ等通信软件中，会随时上传储存大量有关的个人信息，通过这些信息可以掌握一个人的学习、工作、性格、财产、生活方式等方方面面，一旦泄露就会使个人完全暴露出来。如果不对这些个人信息进行保护，那么宪法所规定的通信自由和通信秘密都将无从谈起，这一宪法基本权利将成为一种只是形式上的存在，而没有实质上的享有。

2.2. 主要义务主体为公权力机关

一项权利究竟应是宪法权利还是民事权利，主要在于其义务主体。如果其义务主体是公权力机关，与权利主体形成不平等关系，那么该权利便是宪法权利。如果其义务主体是私主体，与权利主体形成平等关系，那么该权利便是民事权利。当公权力机关基于公共利益的目的收集使用个人信息时，个人信息保护权便是宪法权利。当私主体基于非公共利益目的收集使用个人信息时，个人信息保护权便是民事权利。所以个人信息保护权既可以是宪法权利也可以是民事权利，但其更多的是宪法权利，其宪法性明显强于民法性。

公权力机关经常基于公共利益目的收集、处理、使用公民的个人信息，与私主体相比，公权力机关是个人信息最大的占有者、使用者。公权力机关之间也会互相共享自己所占有的个人信息，从而形成庞大的个人信息数据库。而私主体之间由于市场竞争的需要，同时也缺乏驱使私主体之间达成协议共享信息的动力。毫无疑问，公权力机关便拥有最多的个人信息，因此，个人信息保护的义务主体便主要是公权力机关，个人信息保护权的宪法性就得到了更深一层的解剖。

2.3. “根据宪法”条款

我国以往在立法时，法律文本中的“根据宪法”条款通常只有形式上的意义，不会引起重视。但近些年来，这一条款不再只是形式上的宣告意义。《个人信息保护法》最终纳入“根据宪法”条款，使对个人信息保护权究竟应是公法属性还是私法属性的争议有了暂时的结果，即认为个人信息保护权应是公法属性。同时也意味着《个人信息保护法》是个人信息保护领域的基本法，而不是民法的特别法 [2] 。应该放弃以民事权利作为个人信息保护的理论基础，而应以宪法基本权利作为个人信息保护权的理论基础 [3] ，这也表示个人信息保护权更多的是宪法权利。

3. 个人信息保护中存在的问题

3.1. 个人信息自决权受到限制

个人信息保护权是一项广泛意义的权利，包括个人信息自决权。由于个人信息保护权更多的是宪法权利，意图之一是保护权利主体的人格尊严，为此权利主体基于个人信息也享有个人信息自决权，即依照法律自由的自主决定个人信息的收集使用。个人信息保护权与个人信息自决权两项权利并不是相互独立的而是紧密联系的，对个人信息的保护以及信息主体享有的个人信息自决权在《个人信息保护法》中均有体现。个人信息自决权在该法律中体现在，第13条规定的信息享有同意权、第15条规定的享有对同意的撤回权、第44条和第45条知情、决定、查阅、复制、更正权、第47条删除权等条款。可以发现，个人信息保护权包含个人信息自决权，研究完善个人信息自决权也是促进个人信息保护权的实施，二者相辅相成，不可分离。

个人信息自决权是相对的权利，只有相对的权利，没有绝对的自由。各国普遍规定公共交通、社会保障、公共健康等为公共利益的范畴，个人信息自决权的行使要为重大公共利益让步。比如在抗击新型冠状疫情的过程中，为遏制病毒载体的传染，每位公民需要上传姓名、身份证号码、行程轨迹等个人信息，感染病毒的公民还会被披露个人有关信息，特别是被披露个人详细行程轨迹，不管公民是否同意。虽然此规定限制了个人信息自决权的行使，甚至有嫌疑侵犯个人信息保护权，但保障了绝大多数人的正当利益，这是被允许的。但是在公共利益之外，个人信息保护权不应受侵犯，个人信息自决权不应受限制。在涉及公共利益甚至国家利益的时候限制个人信息自决权的行使，这是“舍小家为大家”。但是，为行使公权力机关对公共利益、国家利益的管理职能，近年来放宽国家机关在检查、监视、使用个人信息方面的公权力，也就是说个人信息保护权、自决权与公权力管理职能之间产生冲突。那么究竟是应该以权利为本位还是以公权力为本位？如果以权利为本位，那么个人信息保护权、自决权将得到充分行使，权利得到充分保障，公民对个人信息享有完整的控制权，但是这样会造成公权力的管理得不到高效开展，反而会因为各项管理活动需要公民同意处理个人信息而束手束脚，不利于高效便民。如果以公权力为本位，那么毫无疑问，决策的做出、管理权力的行使都非常有利于公权力机关，但是这样就在一定程度上否定了公民的个人信息自决权。虽然公民的个人信息权利与国家利益并不一定起冲突，但这很容易使得各种对公民个人信息的保障手段被降格为维护公共利益、国家利益的手段。因此，以上两者都会产生不利的效果。

3.2. “知情同意”流于形式

个人信息自决权的行使，首当其冲就是要求经过信息主体的知情同意。即信息控制者在收集处理个人信息之前应告知信息主体，并得到信息主体的同意，“同意”是信息主体的意志体现。但是知情同意原则的实施效果并不理想。一方面，在有些服务中，特别是民事领域中，信息控制者为避免承担责任，会以格式条款告知信息主体相关的隐私声明等，但通常这些格式条款内容很多，不易理解，绝大多数人不会花费大量时间、精力仔细阅读，通常直接选择同意。况且选择“不同意”的后果就是终止服务，所以只能被动同意。另一方面，信息主体对个人信息的控制权往往就止步于“同意”，信息控制者告知的收集、使用往往暗含加工和再使用，而暗含的行为是信息主体不知道的。“同意”就像是给信息控制者打开了一扇大门，进入大门后信息控制者后续行为不再需要信息主体知情同意，这样形式上的同意也就剥夺了信息主体救济的权利。

3.3. 公权力机关成为最大的个人信息侵害者

个人信息的保护首先应当排除来自国家的侵害 [4] 。随着电子政务的兴起，收集和利用个人信息最多的主体当属政府部门，个人信息在面对政府时同样危险 [5] 。政府在收集、利用个人信息的时候通常不会把流程和用途充分透露给个人信息主体，信息主体被动的将个人信息交给政府后只需政府处理收集到的这些信息，而信息主体不再参与后续行为。信息主体与政府之间这样长时间的不对称、不均衡的权力结构轻易使得信息主体缺乏安全感，滋生寒蝉效应 [6] 。在公权力机关侵害个人信息这方面最著名的当属美国的“斯诺登事件”。在这一事件中，个人信息经过国际传播，如此大规模且秘密的行动，几乎涉及全球范围，而被监控对象却毫不可知，对个人信息的披露使用没有经过允许且毫不知情。

4. 对个人信息保护的建议

4.1. 相关利益之衡量

虽然对个人信息自决权不能过度限制，但也不允许信息主体权利滥用，以防出现权利行使和立法目的不相符的情况。同时也不允许恶意行使自决权，比如侵害他人合法权益的行为。行使自决权时，应综合多种相关因素，对个人权利行使有关的利益和他人的利益、社会的利益之间充分进行价值衡量。在实际应用中，应遵循人格利益大于经济利益、公共利益大于私人利益、利益衡量遵循比例原则、非必要不采集等要求。

在涉及需要行使个人信息自决权的活动中，无论是公权力机关还是私人机构，都应尽可能的为信息主体提供可操作性的替代选项。比如在小区的门禁设置中，有的小区为了方便对小区出入人员的管理，在门禁设置中只有人脸识别，这就导致尚未录入人脸识别或不愿录入人脸识别的人不能自由、方便进出小区。所以在这样的情况中，就应为小区住户提供钥匙、门禁卡等可供替代的选择，而且不能设置条件选择，也就是说，不能变相逼迫当事人选择人脸识别，不能让当事人选择钥匙或者门禁卡只是迫不得已的选择，以此来保障信息主体的个人信息自决权的行使。

4.2. 有效同意之保障

信息收集者和信息主体通常处于不平等的状态，信息主体一般处于劣势地位。而且信息收集者提供的格式条款或者隐私协议，在个人信息保护中产生的实际作用较弱。为提高“知情同意”行使的有效性，首先，可以对繁杂冗长的格式条款，将其中涉及信息主体的重要权利和义务的关键之处提炼出来以标黑或者其他鲜明方式尽量引起信息主体的注意，随之附上完整的格式条款内容，避免“不同意即退出”的方案。也可以将格式条款内容尽量以平实、通俗易懂的语言告知给当事人。对于特别重要的信息授权，应以“弹窗”等更为明显的方式提醒信息主体。其次，应允许信息主体在“同意”之后仍可以修改相关信息和信息使用范围，包括删除部分个人信息、增添个人信息、隐藏个人信息等。最后，还可以由行业制定统一的条款协议提供给企业，企业予以参照适用，并对隐瞒适用目的、超出条款规定的使用予以惩罚。

4.3. 公权力之监督

公权力机关通常是基于公共利益的需要收集个人信息，在这时候，往往不需要信息主体的同意或者不同意，信息主体也不能要求公权力机关在满足完成公共利益的需要就删除信息 [7] 。这在一定程度上给予了公权力机关自由处理信息的权力，因此需要对此进行限制。国家机关应在法定职责范围内、依照法定程序收集和处理个人信息；公权力机关处理个人信息的过程和结果应遵守依法行政、比例原则的要求，不得超出能实现目的的必要限度；国家机关处理个人信息应具有具体且必须、正当、合理的依据；另外，公权力机关在没有例外的情况下，还应履行告知义务。

除了以上原则性的要求，还应强化对公权力机关的内部监督和外部监督，内部监督分为行政监督和党内监督。在行政监督方面，可以开展针对个人信息保护的专项检查，以公权力机关为检查对象，政府和网信部门为检查主体，此项举措目前已有实践案例，且取得不错成果。也可以制定长效监督机制，在机关内部设立监督小组，要求监督小组对本机关的个人信息处理行为进行监督，监督小组不认真履行职责同样受到处罚。在党内监督方面，上级党组织可以对下级违反相关规定的公权力机关党组进行问责，要求写书面检查、进行党内批评等。在外部监督方面，通过行政公益诉讼、行政诉讼、行政处罚等方式对国家机关进行监督。

5. 结语

网络技术运用遍布世界，个人信息无处不在，有关个人信息保护的实践性问题亟待解决，尤其是政府对个人信息的利用应受到监管。在经过20年后我国终于出台《个人信息保护法》，因为《个人信息保护法》的“根据宪法”条款，对个人信息保护其应属私法属性还是公法属性有了初步论断，以往对个人信息保护权更多讨论其作为民事权利的内容，而个人信息保护权其实更多的是宪法权利。尽管针对个人信息的专门法律已经出台，但有关个人信息保护权的行使，依旧存在由于权利要求落实不到位、权利保护意识不强等原因产生的问题。可以依靠公民自身维权、社会监督和政府监督等方式提高社会对个人信息保护的意识。

参考文献